國內多家證券客戶遭冒名下單港股，金管會強調帳戶安全機制需落實

上月底國內傳出證券用戶遭不明人士下單港股的情況，多家券商都出狀況，數日後，臺灣證券交易所與金管會宣布，11月30日證券期貨業者共同成立「證券暨期貨市場電腦緊急應變支援小組」（SF-CERT），最近，在12月14日，金管會表示將要求證券商與期貨商需強化三大防護措施，包括多因子認證、密碼錯誤3次中斷連線與異常登入方面的落實。

金管會表示，金融帳號密碼是客戶身分識別、認證，以及各項交易服務授權的主要工具，為保障網路下單交易安全，證券期貨商需強化安全措施，民眾也該有相關資安意識。

在金管會這次公布內容中，指出臺灣證券交易所與臺灣期貨交易所，需督導證券商及期貨商，針對三大防護措施面做好強化。

第一，應於網路下單登入時落實採多因子認證方式，如下單憑證、綁定裝置、OTP、生物辨識等，並強化憑證換發之驗證機制，以確保為客戶本人登入。

第二、應使用優質密碼設定，也就是建立密碼安全設定原則並進行控管，同時，需確實執行密碼輸入錯誤次數達3次，應中斷連線。此外，還有密碼更新的加強宣導。

第三、針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等，應每日進行監控及分析異常登入原因，並於異常IP登入時，通知投資人，及留存相關紀錄。

此外，對於投資人而言，為避免下單帳戶遭盜用，金管會也再三呼籲，應謹記多項原則，包括：提高交易密碼強度，勿在不同服務使用相同的帳號密碼，不要於公用電腦輸入敏感資訊，不要共用帳密或交由他人保管，以及妥善保存身分證件、網路交易帳號密碼及相關的電子憑證。

值得關注的是，這些措施應是證券業早有的基本安全規範，但，這次事件似乎反映出業者不夠落實的問題。

金管會證期局回覆表示，在「建立證券商資通安全檢查機制」的法規中，已有明確條列，是證券商必須遵循，且納入內控的規範，若未遵循將可依證交法處置。例如，在第8條的存取控制中，在密碼管理一項，就有包含「密碼輸入錯誤次數達三次者，應予中斷連線。」的規範。此外，管理單位的督導與查核，同樣是需關注的面向。

附帶一提的是，以近期而言，在今年5月初，金管會也曾要求證券商強化相關措施，這是因為發現詐騙集團製作假冒的證券商頁面，並利用釣魚簡訊誘導民眾連至該網頁，騙取交易帳號與密碼。而我們也從金融資安資訊分享與分析中心網站找到疑似相關資訊，例如，在4月19日有疑似偽冒群益金鼎證券網站，在4月21日有疑似偽冒元大證券網站，還有疑似偽冒富邦證券、富邦期貨的App。而現在這次事件，金管會除了要證交所與證期所都要督導，內容也多了強化憑證換發的驗證機制，以及確實執行密碼輸入錯誤次數達3次者應予中斷連線。

對於近期券商用戶疑似遭撞庫攻擊導致冒名下單的事件，金管會在本月14日表示，將要求臺灣證交所與臺灣證期所督導券商強化三大措施。